資源描述:
《淺論IPv6網(wǎng)絡(luò)安全性》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1����、淺論IPv6網(wǎng)絡(luò)安全性【關(guān)鍵詞】:IPSec��、網(wǎng)絡(luò)安全機(jī)制����、封裝安全有效載荷【摘要】:木文分析了冃前網(wǎng)絡(luò)上存在的一些安全問(wèn)題,以及IPv4在這些問(wèn)題面前的脆弱性��;闡述了IPv6為解決網(wǎng)絡(luò)安全問(wèn)題而采用的機(jī)制��,IPv6當(dāng)前無(wú)法克服主要是竊聽��、應(yīng)用層攻擊�����、非法設(shè)備、Man-Tn-Middle等����。IPv6是下一代Internet的網(wǎng)絡(luò)層協(xié)議,目前世界上許多國(guó)家正在積極部署向IPv6過(guò)渡�。IPv6實(shí)行的根本原因在于目前IPv4協(xié)議的局限性,這些局限性致使IPv4不能滿足各界的長(zhǎng)期需要�����。IPv6能有力克服這些局限性�。此外‘IPv6能在最通用的髙性能
2、網(wǎng)絡(luò)上很好地運(yùn)行�����,并且不會(huì)出現(xiàn)在低帶寬系統(tǒng)中容量顯著降低的情況���。1.冃前網(wǎng)絡(luò)上存在的安全問(wèn)題Internet充滿著惡意的攻擊者���,開放的系統(tǒng)時(shí)時(shí)刻刻眾露在攻擊之下,封閉的系統(tǒng)也不是絕対安全的�����。通常��,TP受到的兒種攻擊為:報(bào)文竊?。篒P報(bào)文在被發(fā)送到一個(gè)特定的FI的結(jié)點(diǎn)的過(guò)程中能被其他結(jié)點(diǎn)讀取到,因而可能被竊取有效載荷�。1P欺騙:IP地址很容易被欺騙用以攻擊那些基于發(fā)送者地址進(jìn)行鑒別的服務(wù)器,并且捉供錯(cuò)誤信息來(lái)破壞合理的網(wǎng)絡(luò)組織�。偽造:整個(gè)報(bào)文被偽造成看似合法的來(lái)自通信雙方之一的報(bào)文,在現(xiàn)有的信道中插入錯(cuò)誤數(shù)據(jù)��。中斷和拒絕服務(wù):這種攻擊通過(guò)停
3���、止�����、過(guò)載或者簡(jiǎn)單的破壞來(lái)終止正常運(yùn)行的服務(wù)�����。IPv4網(wǎng)絡(luò)無(wú)力應(yīng)對(duì)這些隨時(shí)可能出現(xiàn)的網(wǎng)絡(luò)攻擊���。Internet要取得更多的成功需要采用一些好的標(biāo)準(zhǔn)的安全機(jī)制,用這些安全機(jī)制來(lái)保證重要數(shù)據(jù)在Internet上傳輸?shù)陌踩?�,因此,IPv6應(yīng)運(yùn)而生�����。2.IPv6協(xié)議在網(wǎng)絡(luò)安全上有改進(jìn)IP安全協(xié)議(IPSec)是IPv4的一個(gè)對(duì)選擴(kuò)展協(xié)議���,而在IPv6則是一個(gè)必備組成部分���。IPSec協(xié)議可以〃無(wú)縫"地為IP提供安全特性,如提供訪問(wèn)控制��、數(shù)據(jù)源的身份驗(yàn)證����、數(shù)據(jù)完整性檢查、機(jī)密性保證,以及抗重播(Replay)攻擊等�。⑴端到端的安全保證IPv6最人的優(yōu)
4、勢(shì)在于保證端到端的安全���,可以滿足用八對(duì)端到端安全和移動(dòng)性的要求�。IPv6限制使用NAT,允許所有的網(wǎng)絡(luò)節(jié)點(diǎn)使用其全球惟一的地址進(jìn)行通信��。每當(dāng)建立一個(gè)IPv6的連接��,都會(huì)在兩端主機(jī)上對(duì)數(shù)據(jù)包進(jìn)行IPSec封裝,屮間路由器實(shí)現(xiàn)對(duì)有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸����,通過(guò)對(duì)通信端的驗(yàn)證和對(duì)數(shù)據(jù)的加密保護(hù)����,使得敏感數(shù)據(jù)口J以在IPv6網(wǎng)絡(luò)上安全地傳遞,因此���,無(wú)需針對(duì)特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)川層網(wǎng)關(guān))����,就可保證端到端的網(wǎng)絡(luò)透明性�����,有利于提高網(wǎng)絡(luò)服務(wù)速度����。⑵地址分配與源地址檢查在IPv6的地址概念中,有了本地子網(wǎng)地址和本地網(wǎng)絡(luò)地址的概念
5��、�。從安全角度來(lái)說(shuō),這樣的地址分配為網(wǎng)絡(luò)員強(qiáng)化網(wǎng)絡(luò)安全管理提供了方便��。若某主機(jī)僅需要和一個(gè)子網(wǎng)內(nèi)的其他主機(jī)建立聯(lián)系,網(wǎng)絡(luò)管理員可以只給該主機(jī)分配一個(gè)本地子網(wǎng)地址�;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問(wèn)服務(wù)��,那么就可以只給這臺(tái)服務(wù)器分配一個(gè)木地網(wǎng)絡(luò)地址���,而金業(yè)網(wǎng)外部的任何人都無(wú)法訪問(wèn)這些主機(jī)。源路由檢查出于安全性和多業(yè)務(wù)的考慮����,許多核心路由器對(duì)根據(jù)需要�����,開啟反向路由檢測(cè)功能,防止源路由篡改和攻擊��。⑶防止未授權(quán)訪問(wèn)IPv6固有的對(duì)身份驗(yàn)證的支持,以及對(duì)數(shù)據(jù)完整性利數(shù)據(jù)機(jī)密性的支持和改進(jìn)����,使得IPv6增強(qiáng)了防止未授權(quán)訪問(wèn)的能力���,更加適合于那些對(duì)敏感信息
6����、和資源有特別處理要求的應(yīng)用�。⑷域名系統(tǒng)DNS基于IPv6的DNS系統(tǒng)作為密鑰基礎(chǔ)設(shè)施系統(tǒng)的基礎(chǔ)���,有助于抵御網(wǎng)上的身份偽裝與偷竊��,而采用對(duì)以提供認(rèn)證和完整性安全特性的DNS安全擴(kuò)展協(xié)議���,能進(jìn)一步增強(qiáng)IT前針對(duì)DNS新的攻擊方式的防護(hù)�,例如〃網(wǎng)絡(luò)釣魚〃攻擊�����、〃DNS中毒〃攻擊等����,這些攻擊會(huì)控制DNS服務(wù)器,將合法網(wǎng)站的1P地址篡改為假冒��、惡意網(wǎng)站的JLP地址等��。⑸靈活的擴(kuò)展報(bào)頭一個(gè)完整的IPv6的數(shù)據(jù)包可包括多種擴(kuò)展報(bào)頭��,例如逐個(gè)路程段選項(xiàng)報(bào)頭、目的選項(xiàng)報(bào)頭�����、路由報(bào)頭、分段報(bào)頭、身份認(rèn)證報(bào)頭����、冇效載荷安全封裝報(bào)頭、最終忖的報(bào)頭等�����。這些擴(kuò)展報(bào)頭
7、不僅為IPv6擴(kuò)展應(yīng)用領(lǐng)域奠定了基礎(chǔ)���,同時(shí)也為安全性提供了保障���。⑹防止網(wǎng)絡(luò)掃描與病毒蠕蟲當(dāng)病毒和蠕蟲在感染了一臺(tái)主機(jī)Z后����,就開始對(duì)其他主機(jī)進(jìn)行隨機(jī)掃描�����,在掃描到其他冇漏洞的主機(jī)后�,會(huì)把病毒傳染給該主機(jī)�����。這種傳播方式的傳播速度在IPv4下非常迅速(如NimdH病毒在4?5分鐘內(nèi)可以感染上百萬(wàn)臺(tái))�����。但這種傳播方式因?yàn)镮Pv6的地址空間的巨人變得不適用了�����,病莓及網(wǎng)絡(luò)蠕蟲在IPv6的網(wǎng)絡(luò)屮傳播將會(huì)變得很困難��。⑺防止網(wǎng)絡(luò)放人攻擊ICMPv6在設(shè)計(jì)上不會(huì)響應(yīng)組播地址和廣播地址的消息�,不存在廣播�����,所以��,只需要在網(wǎng)絡(luò)邊緣過(guò)濾組播數(shù)據(jù)包���,即對(duì)阻止由攻擊者向
8��、廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊�����。⑻防止碎片攻擊IPv6認(rèn)為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的���,處理時(shí)會(huì)丟棄MTU小于1280字節(jié)的數(shù)據(jù)包(除非它是最后一個(gè)包)��,這有助于防止碎片攻擊
